Существует так много написано об угрозе безопасности attr_accessible, что я начинаю задаваться вопросом, есть ли у меня какие-либо атрибуты. Вот проблема. У меня есть Message
модели, которая имеет следующее:Проблема и уточнение, необходимые с attr_accessible
attr_accessible :body,:sender_id,:recipient_id
я не имею действия update
или edit
в моем messages_controller
. С действием new
и create
я могу создать новое сообщение и отправить его получателю. Только пользователи, которые вошли в систему и отвечают определенным условиям, могут сообщать друг другу. Я делаю это с помощью before_filter
, и условия работают нормально. Сообщение сохраняется и может быть просмотрено на sender
и recipient
. Отлично!
Вопрос у меня есть, так как :body,:sender_id,:recipient_id
включены в attr_accessible
, может ли злоумышленник каким-то образом изменить :body,:sender_id,:recipient_id
оригинального сообщения? Должен ли я просто добавлять эти атрибуты к attr_readonly
, чтобы они не могли быть изменены после сохранения?
Этот вопрос преследует меня практически для всех моих моделей.
sender.id == current_user.id. Именно так у меня есть это в настоящее время. Несмотря на это, существует ли угроза? – pratski
Зачем вам помещать sender_id в список? Это не должно быть полем, разрешенным для массового назначения. – aromero